TIA IP-Forwarding über die Schnittstellen einer S7-1500-CPU

[PN/DP]

Zuviel Werbung?
-> Hier kostenlos registrieren

Gerade zufällig gefunden:
Wie stellen Sie IP-Forwarding über die Schnittstellen einer S7-CPU ein? (S7‑1500 CPU ab Firmware‑Version V2.8)

Ist das eine Featuritis-Schnappsidee von Siemens? Hat jemand damit bereits Erfahrungen? Ich nicht, aber irgendwie kommt es mir vor wie eine Einladung an Hacker unter dem Vorwand der Bequemlichkeit für SPS-Programmierer.
Für welche Protokolle und Ports macht die S7-1500 diesen Routing-"Service"? Läßt sich das administrieren?
Wäre es nicht besser, Router-Funktionen den professionellen administrierbaren Routern zu überlassen? Die können das besser und sicherer. Und ohne einen Produktionsprozess abzuschießen, indem man die CPU ein bisschen mit Netzverkehr überlastet...
Dazu noch einen unkomplizierten LTE-Router von PI und jedermann kommt bequem ins an der SPS angeschlossene Kunde-Firmen-Netz ohne störende IT Abteilung

Harald

 

[TP-Inc]

Wir haben das mal eingesetzt um Daten vom übergeordneten Leitsystem am HMI zu visualisieren. Die HMIs waren PNIO Teilnehmer und das Leitsystem mit TCP/IP an der anderen Schnittstelle der CPU. Hat etwas gedauert bis es funktioniert hat, war aber praktisch….

 

[ducati]

Zuviel Werbung?
-> Hier kostenlos registrieren

Bei TIA V17 gibts da jede Menge in der HW-Konfig der CPU rumzustellen...

 

[Thomas_v2.1]

Im Prinzip war das wegen dem S7-Routing schon bei den damaligen 300/400ern ein Sicherheitsproblem. Wenn da jemand meinte zur Trennung der Netze einen zusätzlichen Kommunikationsprozessor einzubauen, dann ist das eben auch nur begrenzt sicher. Oder auch wenn jemand sagte, wir haben unser Fernwartungsmodem nur am MPI oder Profibus hängen.

 

[Blockmove]

Im Prinzip war das wegen dem S7-Routing schon bei den damaligen 300/400ern ein Sicherheitsproblem. Wenn da jemand meinte zur Trennung der Netze einen zusätzlichen Kommunikationsprozessor einzubauen, dann ist das eben auch nur begrenzt sicher. Oder auch wenn jemand sagte, wir haben unser Fernwartungsmodem nur am MPI oder Profibus hängen.

Das "Feature" führt zu regelmässigen Diskussionen mit unserer IT-Security-Abteilung.
Siemens bringt immer mehr Netzwerkfunktionen (Zertifikate, VPN, Routing, ...) in die Steuerungen, jedoch fehlt bei uns SPS'lern meist das Wissen und die IT fasst Steuerungen nicht an.

 

[ducati]

Zuviel Werbung?
-> Hier kostenlos registrieren

Siemens bringt immer mehr Netzwerkfunktionen (Zertifikate, VPN, Routing, ...) in die Steuerungen, jedoch fehlt bei uns SPS'lern meist das Wissen und die IT fasst Steuerungen nicht an.

Hmm, ich hab seit Jahren die Erfahrung gemacht, dass viele ne CPU in die HW-Konfig ziehn und aus "Angst" an den Parametern garnix ändern. Die 300er haben dann z.B. immernoch nur 10 Diagnosepuffereinträge.
Da hilft eigentlich immer mal im Büro bissl durchklicken und drüber nachdenken.
Ich stell halt immer nicht benötigte Sachen wie Webserver etc. einfach ab. Und am besten baut man natürlich die Anlage so, dass Routingfunktionen nicht notwendig sind.

 

[adiemus84]

Siemens bringt immer mehr Netzwerkfunktionen (Zertifikate, VPN, Routing, ...) in die Steuerungen, jedoch fehlt bei uns SPS'lern meist das Wissen und die IT fasst Steuerungen nicht an.

Aber von IPv6 haben die scheinbar noch nichts gehört. Nachdem ja schon seit vielen Jahren alle sin Richtung IP geht haben wir das Problem dass uns langsam die Adressen ausgehen und neue Subnetze nicht mehr verfügbar sind.

 

[Thomas_v2.1]

Aber von IPv6 haben die scheinbar noch nichts gehört. Nachdem ja schon seit vielen Jahren alle sin Richtung IP geht haben wir das Problem dass uns langsam die Adressen ausgehen und neue Subnetze nicht mehr verfügbar sind.

Da sehe ich aber kein Problem, außer du willst unbedingt alle deine S7-Steuerungen direkt aus dem Internet erreichbar machen, ansonsten funktioniert das alles mit NAT doch ganz gut. Ich bin ehrlich gesagt froh im LAN immer noch ausschließlich mit IPv4 umgehen zu müssen weil sich die Adressen einfacher merken lassen. Oder welchen Vorteil versprichst du dir von IPv6 auf deinen S7-Steuerungen?

 

[Blockmove]

Zuviel Werbung?
-> Hier kostenlos registrieren

Da sehe ich aber kein Problem, außer du willst unbedingt alle deine S7-Steuerungen direkt aus dem Internet erreichbar machen, ansonsten funktioniert das alles mit NAT doch ganz gut. Ich bin ehrlich gesagt froh im LAN immer noch ausschließlich mit IPv4 umgehen zu müssen weil sich die Adressen einfacher merken lassen. Oder welchen Vorteil versprichst du dir von IPv6 auf deinen S7-Steuerungen?

Sehe ich ganz genauso.
IPv6 ist zwar (in der Theorie) genau dafür geschaffen worden jedes Gerät ans Internet zu bringen, aber in der Praxis sieht es anders aus.
Ich bin ganz froh darüber, dass alles noch mit IPv4 läuft.
Wenn jemand unbedingt IPv6 will, dann darf er gerne ein Gateway (am besten mit Firewall) installieren.

 

[adiemus84]

Mir geht es hier rein ums private Netzwerkadressen. Also Unique Local. Im Internet hängt bei uns eh nichts. Nur hat halt unsere IT schon so gut wie alle privaten Subnetze in Verwendung. Also kann ich für die Produktion keine vernünftigen Subnetze mehr bilden.

NAT ist doch immer eine Krücke. Da kommen dann manchmal Konstrukte heraus wo keiner mehr durchblickt. Zumindest habe ich wesentlich weniger Probleme mit Fernwartungszugängen seit die weg ist.

 

[PN/DP]

Nur hat halt unsere IT schon so gut wie alle privaten Subnetze in Verwendung. Also kann ich für die Produktion keine vernünftigen Subnetze mehr bilden.

Seit Ihr ein Weltkonzern, der fast 18 Millionen verschiedene private IP-Adressen braucht?

Harald

 

[adiemus84]

Zuviel Werbung?
-> Hier kostenlos registrieren

Der 10er und 192er darf halt nicht verwendet werden. Warum auch immer.

 

[DeltaMikeAir]

Der 10er und 192er darf halt nicht verwendet werden. Warum auch immer.

Dann bleiben noch 1.048.576 Adressen übrig.

 

[PN/DP]

... bzw. bis zu 4096 Klasse-C-Subnetze ( "/24" ) könnte man da einrichten. Und falls 254 IP-Adressen in einem Subnetz nicht reichen, oder weniger als 126 Adressen in einem Subnetz reichen, dann kann man auch mit anderen Subnetzgrößen (Subnetzmasken) wie /23 oder /25 usw. arbeiten. Das sollte doch reichen, um jeder Maschine inkl. Profinet-IO-System ein eigenes privates Subnetz zu geben, und trotzdem noch jede einzelne IP-Adresse in jedem Subnetz zu erreichen. Was aber meist gar nicht nötig und auch nicht erwünscht ist, weshalb viele Maschinen die gleichen IP-Adressen/Subnetze verwenden könnten. Was treibt die IT-Abteilung da?

Harald

 

[Blockmove]

Zuviel Werbung?
-> Hier kostenlos registrieren

Dann bleiben noch 1.048.576 Adressen übrig.

Es geht hier nicht um die Anzahl der Adressen, sondern um die Netzwerkstruktur.
Wir haben im Konzern ein Class A (10.x.x.x) Netzwerk und arbeiten mit IP-Ranges.
Für Teilbereiche werden (wie Harald auch schreibt) /24, /25 oder /26 Subnetzmasken vergeben.
Das Netz ist historisch gewachsen und es kommt immer mal wieder vor, dass ganze Bereiche geändert werden müssen.
Da man in der Automatisierungstechnik meist mit statischen Adressen arbeitet, ist das "interessant".

Ein Netzwerk heute mit dem ganzen IoT- und I4.0-Geraffel sauber zu halten ist eine Herausforderung

 

[PN/DP]

Für welche Protokolle und Ports macht die S7-1500 diesen Routing-"Service"?

Warum nennt Siemens das Feature "IP-Forwarding" und nicht "Routing"? Ist da ein Unterschied? Soll die Funktion verschleiert werden?

Harald

 

[MFreiberger]

Moin,

wir versuchen schon seit geraumer Zeit, das "Routing" oder "IP-Forwarding" umzusetzen. Aber leider scheitern wir kläglich (sicherlich auch aufgrund von fehlendem IT-KnowHow).

Zumindest haben wir diese Anleitung bemüht:
https://www.manualslib.de/manual/691314/Siemens-Simatic-S7-1500.html?page=313

Das Bild 10-6 zeigt eigentlich das, was wir wollen (nur, dass kein HMI, sondern ein SEW-Umrichter erreicht werden soll).

Bei den Voraussetzungen steht, dass:

In jedem beteiligten Gerät entlang des Hin- und Rückwegs der IP-Pakete sind passende Default-Gateways/Routen parametriert.

Und wie machen wir das jetzt?

Nachfolgend wird in einem Beispiel etwas von einem Router erzählt, der hier auf einmal auftaucht. Das passt aber nicht zu unserer Anfangskonfiguration nach Bild 10-6

Hat Jemand Erfahrungen in dem Bereich gemacht?

VG

MFreiberger

 

[Thomas_v2.1]

Zuviel Werbung?
-> Hier kostenlos registrieren

Die Beispielkonfiguration die beschrieben wird, ist auch in Bild 10-8 zu sehen. So richtig verständlich ist mir das aber auch nicht, vor allem da es in der CPU nur einen Haken für Forwarding ein/aus gibt, muss man da schon aufpassen, dass man sich damit nicht das ganze Netzwerk lahmlegt.

Fertige doch mal eine Skizze mit den IP-Adressen an für dein Beispiel.

Es will mir auch nicht einleuchten, was das mit der statischen Route soll. Denn wenn der PC die 192.168.2.2 erreichen will, würde er dafür eh seinen Standardgateway 192.168.4.20 befragen weil sich die IP außerhalb seines Subnetzes befindet, außer er besitzt normalerweise ein anderes Gateway. Der Router muss dann natürlich wissen, dass er wenn er die 192.168.2.2 erreichen will, die SPS als weiteren Router befragen muss.

Was ich mich nur frage, ob die SPS dann auf alle ARP-Anfragen für Adressen im unterlagerten Netzwerk antwortet. Ich habe für so etwas kürzlich einen separaten Router eingesetzt, da besitzt man viel mehr Optionen.

 

[Thomas_v2.1]

Aber für das Bild 10-6 würde ich sagen ist dann nur wichtig, dass beim PC die SPS als Gateway eingestellt wird (die externe IP), und bei dem Gerät im Maschinennetz ebenfalls die IP der SPS mit der internen Schnittstelle. Subnetze sollten dann auch entsprechend zusammen passen, damit überhaupt geroutet wird.

 

[MFreiberger]

Aber für das Bild 10-6 würde ich sagen ist dann nur wichtig, dass beim PC die SPS als Gateway eingestellt wird (die externe IP), und bei dem Gerät im Maschinennetz ebenfalls die IP der SPS mit der internen Schnittstelle. Subnetze sollten dann auch entsprechend zusammen passen, damit überhaupt geroutet wird.

Das werden wir ausprobieren. Bespreche ich mit einem Kollegen, der ist an dem Thema dran...